Cara membuat Network Virtual Appliance di hub Azure Virtual WAN
Artikel ini memperlihatkan kepada Anda cara menyebarkan Integrated Network Virtual Appliance (NVA) di hub Azure Virtual WAN.
Latar belakang
NVA yang disebarkan di hub Virtual WAN biasanya dibagi menjadi tiga kategori:
- Appliance konektivitas: Digunakan untuk mengakhiri koneksi VPN dan SD-WAN dari lokal. Appliance konektivitas menggunakan Border Gateway Protocol (BGP) untuk bertukar rute dengan hub Virtual WAN.
- Appliance Next-Generation Firewall (NGFW): Digunakan dengan Niat Perutean untuk memberikan inspeksi bump-in-the-wire untuk lalu lintas yang melintasi hub Virtual WAN.
- Konektivitas peran ganda dan appliance Firewall: Perangkat tunggal yang menghubungkan perangkat lokal ke Azure dan memeriksa lalu lintas yang melintasi hub Virtual WAN dengan Niat Perutean.
Untuk daftar NVA yang dapat disebarkan di hub Virtual WAN dan kemampuannya masing-masing, lihat Mitra NVA Virtual WAN.
Mekanisme Penyebaran
Appliance Virtual Jaringan dapat disebarkan melalui beberapa alur kerja yang berbeda. Mitra Network Virtual Appliance yang berbeda mendukung mekanisme penyebaran yang berbeda. Setiap mitra NVA terintegrasi Virtual WAN mendukung alur kerja Aplikasi Terkelola Marketplace Azure. Untuk informasi tentang metode penyebaran lainnya, referensikan dokumentasi penyedia NVA Anda.
- Marketplace Azure Aplikasi Terkelola: Semua mitra NVA Virtual WAN menggunakan Azure Managed Applications untuk menyebarkan NVA Terintegrasi di hub Virtual WAN. Azure Managed Applications menawarkan cara mudah untuk menyebarkan NVA ke hub Virtual WAN melalui pengalaman portal Azure yang dibuat oleh penyedia NVA. Pengalaman portal Azure mengumpulkan parameter penyebaran dan konfigurasi penting yang diperlukan untuk menyebarkan dan mem-boot-strap NVA. Untuk informasi selengkapnya tentang Azure Managed Applications, lihat Dokumentasi Aplikasi Terkelola. Referensikan dokumentasi penyedia Anda tentang alur kerja penyebaran lengkap melalui Azure Managed Application.
- Penyebaran orkestrator NVA: Mitra NVA tertentu memungkinkan Anda untuk menyebarkan NVA ke Hub langsung dari orkestrasi NVA atau perangkat lunak manajemen. Penyebaran NVA dari perangkat lunak orkestrasi NVA biasanya mengharuskan Anda untuk menyediakan perwakilan layanan Azure ke perangkat lunak orkestrasi NVA. Perwakilan layanan Azure digunakan oleh perangkat lunak orkestrasi NVA untuk berinteraksi dengan API Azure untuk menyebarkan dan mengelola NVA di hub. Alur kerja ini khusus untuk implementasi penyedia NVA. Referensikan dokumentasi penyedia Anda untuk informasi selengkapnya.
- Mekanisme penyebaran lainnya: Mitra NVA juga dapat menawarkan mekanisme lain untuk menyebarkan NVA di hub seperti templat ARM dan Terraform. Referensikan dokumentasi penyedia Anda untuk informasi selengkapnya tentang mekanisme penyebaran lain yang didukung.
Prasyarat
Tutorial berikut mengasumsikan bahwa Anda telah menyebarkan sumber daya Virtual WAN dengan setidaknya satu hub Virtual WAN. Tutorial ini juga mengasumsikan bahwa Anda menyebarkan NVA melalui aplikasi terkelola Marketplace Azure.
Izin yang Diperlukan
Untuk menyebarkan Network Virtual Appliance di Hub Virtual WAN, pengguna atau perwakilan layanan yang membuat dan mengelola NVA harus memiliki setidaknya izin berikut:
- Microsoft.Network/virtualHubs/read melalui hub Virtual WAN tempat NVA disebarkan.
- Microsoft.Network/networkVirtualAppliances/write melalui grup sumber daya tempat NVA disebarkan.
- Microsoft.Network/publicIpAddresses/join melalui sumber daya alamat IP publik yang disebarkan dengan Network Virtual Appliance untuk kasus penggunaan Internet Inbound .
Izin ini perlu diberikan ke Marketplace Azure Managed Application untuk memastikan penyebaran berhasil. Izin lain mungkin diperlukan berdasarkan implementasi alur kerja penyebaran yang dikembangkan oleh mitra NVA Anda.
Menetapkan Izin ke Aplikasi Terkelola Azure
Appliance Virtual Jaringan yang disebarkan melalui aplikasi terkelola Marketplace Azure disebarkan dalam grup sumber daya khusus di penyewa Azure Anda yang disebut grup sumber daya terkelola. Saat Anda membuat Aplikasi Terkelola di langganan Anda, grup sumber daya terkelola yang sesuai dan terpisah dibuat di langganan Anda. Semua sumber daya Azure yang dibuat oleh Aplikasi Terkelola (termasuk Network Virtual Appliance) disebarkan ke dalam grup sumber daya terkelola.
Marketplace Azure memiliki perwakilan layanan pihak pertama yang melakukan penyebaran sumber daya ke dalam grup sumber daya terkelola. Prinsipal pihak pertama ini memiliki izin untuk membuat sumber daya di grup sumber daya terkelola, tetapi tidak memiliki izin untuk membaca, memperbarui, atau membuat sumber daya Azure di luar grup sumber daya terkelola.
Untuk memastikan bahwa penyebaran NVA Anda dilakukan dengan tingkat izin yang memadai, berikan izin tambahan kepada perwakilan layanan penyebaran Marketplace Azure dengan menyebarkan Aplikasi Terkelola Anda dengan identitas terkelola yang ditetapkan pengguna yang memiliki izin melalui hub Virtual WAN dan alamat IP publik yang ingin Anda gunakan dengan Network Virtual Appliance Anda. Identitas Terkelola yang ditetapkan pengguna ini hanya digunakan untuk penyebaran awal sumber daya dalam grup sumber daya terkelola dan hanya digunakan dalam konteks penyebaran Aplikasi Terkelola tersebut.
Catatan
Hanya identitas sistem yang ditetapkan pengguna yang dapat ditetapkan ke Azure Managed Applications untuk menyebarkan Appliance Virtual Jaringan di Hub Virtual WAN. Identitas yang ditetapkan sistem tidak didukung.
- Buat identitas baru yang ditetapkan pengguna. Untuk langkah-langkah dalam membuat identitas baru yang ditetapkan pengguna, lihat dokumentasi identitas terkelola. Anda juga dapat menggunakan identitas yang ditetapkan pengguna yang ada.
- Tetapkan izin ke identitas yang ditetapkan pengguna Anda untuk memiliki setidaknya izin yang dijelaskan di bagian Izin yang Diperlukan bersama dengan izin yang diperlukan penyedia NVA Anda. Anda juga dapat memberi identitas yang ditetapkan pengguna peran Azure bawaan seperti Kontributor Jaringan yang berisi superset izin yang diperlukan.
Atau, Anda juga dapat membuat peran kustom dengan definisi sampel berikut dan menetapkan peran kustom ke identitas terkelola yang ditetapkan pengguna Anda.
{
"Name": "Virtual WAN NVA Operator",
"IsCustom": true,
"Description": "Can perform deploy and manage NVAs in the Virtual WAN hub.",
"Actions": [
"Microsoft.Network/virtualHubs/read",
"Microsoft.Network/publicIPAddresses/join",
"Microsoft.Network/networkVirtualAppliances/*",
"Microsoft.Network/networkVirtualAppliances/inboundSecurityRules/*"
],
"NotActions": [],
"DataActions": [],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/{subscription where Virtual Hub and NVA is deployed}",
"/subscriptions/{subscription where Public IP used for NVA is deployed}",
]
}
Menyebarkan NVA
Bagian berikut menjelaskan langkah-langkah yang diperlukan untuk menyebarkan Network Virtual Appliance ke hub Virtual WAN menggunakan Marketplace Azure Managed Application.
- Navigasikan ke hub Virtual WAN Anda dan pilih Network Virtual Appliance di bawah Penyedia pihak ketiga.
- Pilih Buat appliance virtual jaringan.
- Pilih vendor NVA. Dalam contoh ini, "fortinet-ngfw" dipilih dan pilih Buat. Pada titik ini, Anda dialihkan ke aplikasi terkelola Marketplace Azure mitra NVA.
- Ikuti pengalaman pembuatan aplikasi terkelola untuk menyebarkan NVA Anda dan mereferensikan dokumentasi penyedia Anda. Pastikan bahwa identitas sistem yang ditetapkan pengguna yang dibuat di bagian sebelumnya dipilih sebagai bagian dari alur kerja pembuatan aplikasi terkelola.
Kesalahan Penyebaran Umum
Kesalahan izin
Catatan
Pesan kesalahan yang terkait dengan LinkedAuthorizationFailed hanya menampilkan satu izin yang hilang. Akibatnya, Anda mungkin melihat izin yang hilang yang berbeda setelah memperbarui izin yang ditetapkan ke perwakilan layanan, identitas terkelola, atau pengguna Anda.
- Jika Anda melihat pesan kesalahan dengan kode kesalahan LinkedAuthorizationFailed, identitas yang ditetapkan pengguna yang disediakan sebagai bagian dari penyebaran Aplikasi Terkelola tidak memiliki izin yang tepat yang ditetapkan. Izin pasti yang hilang dijelaskan dalam pesan kesalahan. Dalam contoh berikut, periksa kembali apakah identitas terkelola yang ditetapkan pengguna memiliki izin BACA melalui hub Virtual WAN tempat Anda mencoba menyebarkan NVA.
The client with object id '<>' does not have authorization to perform action 'Microsoft.Network/virtualHubs/read' over scope '/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>' or the scope is invalid. If access was recently granted, please refresh your credentials
Langkah berikutnya
- Untuk mempelajari selengkapnya tentang Virtual WAN, lihat Apa itu Virtual WAN?
- Untuk mempelajari lebih lanjut tentang NVA di hub Virtual WAN, lihat Tentang Network Virtual Appliance di hub VIRTUAL WAN.